Hulpartikel overzicht

Hulpartikel

TLS 1.0 en 1.1 uitschakelen op je mailserver

Transport Layer Security (TLS) is de opvolger van SSL en wordt gebruikt om de communicatie op een computernetwerk te beveiligen (bijvoorbeeld het internet). Denk hierbij bijvoorbeeld aan het beveiligen van de verbinding vanaf jouw computer naar een website of mailserver. Wanneer men tegenwoordig over SSL praat, wordt eigenlijk altijd TLS bedoelt.

Er zijn inmiddels de nodige TLS-versies uitgekomen, waarvan TLS 1.0 en TLS 1.1 al sinds juni 2018 een zogeheten 'End of Life' status bereikt hebben. Dit betekent dat deze versies geen updates meer krijgen en het gebruik ervan potentieel onveilig is.

Voor backwards compatibility, hebben we TLS 1.0 en TLS 1.1 tot eind 2021 ondersteunt op de VPS-mailservice. Om veiligheidsredenen hebben we eind 2021 echter besloten deze oudere TLS-versies niet langer te ondersteunen.

Wanneer je gebruik maakt van de VPS-mailservice, is het dan ook belangrijk om ervoor te zorgen dat je TLS 1.2 of nieuwer ondersteunt en geen oudere versies van TLS meer ondersteunt. In deze handleiding laten we zien hoe je controleert of je TLS 1.0 en/of 1.1 moet uitschakelen op je mailserver en indien ja, hoe je op je mailserver TLS 1.0 of 1.1 uitschakelt.

  • Ongeacht welk besturingssysteem of mailserver je gebruikt, is het belangrijk dat deze up-to-date zijn. Controleer daarom eerst of er updates beschikbaar zijn en installeer die indien aanwezig. De meeste software is namelijk dusdanig slim ingesteld dat die automatisch de laatst beschikbare TLS-versie gebruikt.
     
  • De stappen in deze handleiding zijn bedoelt om op je op weg te helpen, maar individuele stappen kunnen bij verouderde installaties afwijken. We bieden geen garanties voor besturingssystemen en softwareversies die inmiddels een End of Life status bereikt hebben.
     
  • DirectAdmin en cPanel gebruiken automatisch de meest up-to-date TLS-versie. Als je server up-to-date is, zijn er verder dan ook geen acties vereist.

Controleren of je al TLS 1.2 of nieuwer gebruikt in Linux

 

First things first! Gebruik je eigenlijk wel TLS 1.0 of TLS 1.1? Er is in Linux een commando waarmee je dit eenvoudig kunt controleren:

openssl s_client -connect 123.123.123.123:993

Vervang 123.123.123.123 door het IP-adres van je mailserver (of de hostname). Het aardige is dat je hier ook je mailpoort 993 kunt veranderen naar bijvoorbeeld 443 en zo ook eventuele Apache/Nginx-servers kunt controleren.

Je krijgt nu de nodige informatie te zien, maar hoeft alleen naar het volgende stukje te kijken:

---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384

Zie je hier Protocol : TLSv1.2 of Protocol : TLSv1.3 terug? Gefeliciteerd! Jouw server maakt al gebruik van een veilige TLS-versie.

Zie je hier Protocol : TLSv1.0 of Protocol : TLSv1.1? Update dan eerst volledig je VPS met de onderstaande commando's, herstart je VPS en kijk dan met het eerdere commando of je nu wel TLSv1.2 of TLSv1.3 terugziet. Zo niet, ga dan verder met de volgende paragraven (afhankelijk van je gebruikte mailsoftware).

Ubuntu / Debian:

apt -y update && apt -y upgrade

CentOS/AlmaLinux:

yum -y update

TLS 1.2+ gebruiken voor Plesk-installaties

 

Plesk staat je eenvoudig toe om eenvoudig de gebruikte TLS-versies aan te passen (Plesk installaties vanaf 2019 gebruiken al TLS 1.2).  In deze handleiding laten we zien hoe je TLS 1.0 en 1.1 uit zet in Plesk.


TLS 1.0 en 1.1 uitschakelen in Dovecot

 

Ongeacht of je Postfix of Exim gebruikt om mail te versturen, heb je, als je ook mail wil kunnen ontvangen, op een Linux distro Dovecot nodig. Dit betekent gelukkig dat de configuratie (zo goed als) hetzelfde is voor verschillende besturingssystemen en als bonus steekt die ook vrij eenvoudig in elkaar.

De eenvoudigste oplossing is simpelweg om Dovecot (en je hele server) up-to-date te houden. In de recentste versies van Dovecot zijn TLS 1.0 en 1.1 uitgeschakeld. Zelfs bij iets minder recente versies wordt al automatisch de meest recente TLS-versie gebruikt.

Wil je toch handmatig TLS 1.0 en 1.1 uitzetten, pas dan de configuratie aan als volgt:

 

Stap 1

Open de SSL-configuratie van Dovecot:

nano /etc/dovecot/conf.d/10-ssl.conf

 

Stap 2

Voeg de volgende regel toe aan het bestand.

ssl_min_protocol = TLSv1.2

Sla de wijzigingen op en sluit het bestand (ctrl + x > y > enter). Herstart tot slot Dovecot:

systemctl restart dovecot

TLS 1.0 en 1.1 uitschakelen in Postfix

 

Postfix ondersteunt TLS 1.2 vanaf versie 2.6 (indien gepatched) en TLS 1.3 vanaf versie 3.4 en nieuwer. Je gebruikte versie controleer je met het commando:

postconf -d | grep mail_version

Als je installatie up-to-date genoeg is (2.6 of nieuwer indien gepatched), stel je een minimum van TLS 1.2 in als volgt:

 

Stap 1

Open de configuratie van Postfix, voor de meeste besturingssystemen is dit:

nano /etc/postfix/main.conf

 

Stap 2

Voeg de volgende regels toe onderaan het bestand:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

Sla de wijzigingen op en sluit het bestand (ctrl + x > y > enter). Herstart tot slot Postfix:

systemctl restart postfix

TLS 1.0 en 1.1 uitschakelen in Exim

 

Stap 1

Open de configuratie van Exim, afhankelijk van je besturingssysteem kan de naam van het configuratiebestand verschillen, bijvoorbeeld:

Ubuntu / Debian:

nano /etc/exim4/exim4.conf.template

CentOS / AlmaLinux / Rocky Linux

nano /etc/exim/exim.conf

 

Stap 2

Voeg de volgende regel toe aan het bestand boven de regel 'auth_advertise_hosts = ${if eq{$tls_cipher}{}{}{*}}'. auth_advertise_hosts staat doorgaans bij het openen van het bestand direct in het eerste blok.

tls_require_ciphers = SUITEB192:!VERS-SSL3.0:!VERS-TLS1.0:!VERS-TLS1.1:+VERS-TLS1.2:-ARCFOUR-128

Sla de wijzigingen op en sluit het bestand (ctrl + x > y > enter). Herstart tot slot Exim:

Ubuntu/Debian:

systemctl restart exim4

CentOS / AlmaLinux:

systemctl restart exim

TLS 1.0 en 1.1 uitschakelen voor Exchange Server

 

Stap 1

Het is belangrijk om eerst te kijken of je server eigenlijk wel TLS 1.0 en/of TLS 1.1 ondersteunt en je niet al volledig up-to-date bent. Dit kun je eenvoudig doen door het register te controleren.

Klik op de Windows Start-knop, type 'regedit' en klik op 'Registry Editor' in de zoekresultaten.

windows search for regedit


 

Stap 2

Geef boven in de Registry Editor het adres 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\' op, of klik in de mappenstructuur aan de linkerkant tot je in deze map uitkomt.

Zie je hier geen extra mappen voor TLS 1.0 en 1.1? Dan gebruik je al geen TLS 1.0 en 1.1 en ben je klaar met deze handleiding.

regedit tls protocls


 

Stap 3

Voor je daadwerkelijk TLS 1.0 en 1.1 uit zet, is het belangrijk dat je server klaar is voor het uitschakelen van beide en exclusief gebruiken van TLS 1.2. Neem hiervoor eerst de volgende twee handleidingen van Microsoft door:


 

Stap 4

Druk op de Windows Start-knop en type 'Notepad'. Klik in de resultaten met de rechter muisknop en selecteer 'Run as Administrator'.

windows start find notepad runas admin


 

Stap 5

Geef het bestand de volgende inhoud:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000 

Sla vervolgens het bestand op met de naam en extensie TLS10-Disable.reg (Selecteer achter 'Save as type' de optie 'All files').

save as reg filesave as reg file


 

Stap 6

Dubbelklik op het zojuist aangemaakte bestand en klik op 'Yes' om te accepteren dat de inhoud aan je register wordt toegevoegd.


 

Stap 7

Herhaal stap 4 t/m 6 maar geef deze keer het bestand de naam TLS11-Disable.reg en de volgende inhoud:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000 

Je bent nu klaar met het uitschakelen van TLS 1.0 en 1.1 op je Exchange Server.


 

Daarmee zijn we aan het eind gekomen van deze handleiding over het uitschakelen van TLS 1.0 en 1.1 op diverse mailservers.

Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Probeer BladeVPS drie maanden uit

Maak van jouw volgende website of applicatie een succes op BladeVPS. Probeer direct of een self-managed VPS iets voor jou is; de eerste drie maanden krijg je van ons :-)!

Start nu je 3 gratis maanden

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op